Blog da AuditSafe, participe!

 

 

 

 

Por que estar em conformidade com leis e regulamentações é tão importante para a sua empresa??


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/08/2018

A Segurança da Informação nunca esteve tão em evidência como nos dias de hoje.

 

Desde o fatídico 12 de maio de 2017, quando o mundo foi pego de “surpresa” pelo Wannacry (ransomware que fez mais de 300 mil vítimas em cerca de 150 países), o tema ganhou sobrevida dentro das organizações. Tanto que de lá para cá foi possível perceber uma grande movimentação no mercado e novas resoluções, regulamentações e propostas de leis foram criadas a fim de proporcionar um ambiente mais seguro para os negócios digitais.
 

GDPR, LGDP, Resolução 4.658, ISO27001, NIST, CobiT...
 

Todas elas têm um papel fundamental para as companhias hoje, independente do porte ou segmento em que atua. Elas são produtos originados a partir de anos de experiência e estudos. Consequentemente, todos as empresas podem se beneficiar e gerenciar seus riscos tecnológicos, cibernéticos e corporativos se as utilizarem corretamente. Até já falei aqui, em meu artigo anterior, que a Gestão de Riscos Cibernéticos pode alavancar os negócios quando bem aplicada.
 

No entanto, muitas empresas fazem gastos elevados (e muitas vezes, desnecessários) em tecnologias que prometem deixá-las em conformidade com tais regras, quando na verdade deveriam inicialmente realizar um diagnóstico para ter um retrato de sua situação atual. 
 

Por meio desse trabalho, as organizações saberão seu grau de aderência às regras desejadas, seu nível de maturidade e os riscos dos controles das normas frente aos negócios. Através desse relatório (que nada mais é que um Plano Diretor) ficará mais fácil para as companhias decidirem o quanto desejam investir, mensurando os riscos que desejam evitar.
 

Algumas pequenas e médias empresas tendem achar que, por serem menores, não serem tão desejadas por atacantes ou terem faturamento elevado não precisam se preocupar com essas regras. Ledo engano! Por mais que elas utilizem recursos tecnológicos, seja um firewall, ferramentas de prevenção ao vazamento de dados ou de criptografia de dados, não dá para desconsiderar o fator humano. Ou seja, de nada adiantam tecnologias se o funcionário da empresa ou o parceiro burlar os controles de segurança (seja de maneira intencional ou acidental). 
 

Atualmente há um grande esforço a ser desenvolvido quando o assunto é Conscientização em Segurança, Cyber Awareness ou Educação Digital. É preciso investir em um Programa Contínuo de Conscientização, considerando e-learning, simulações de phishing, jogos entre as áreas e materiais informativos, e não apenas realizar palestras. Qualquer regra, resolução, norma e boa prática abordará esse tema.
 

As leis e regulamentações brasileiras vigentes hoje são comparadas às internacionais e, a Lei Geral de Proteção de Dados aprovada, o Brasil estará entre um seleto time de países que têm leis específicas para proteger os dados dos cidadãos. Isso quer dizer que estamos entrando em um caminho sem volta.

 

Outras leis e regulamentações virão. Estar em conformidade com elas é um diferencial competitivo.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Prezado CEO,

Você Sabia que a Segurança da Informação
é Estratégica para o seu Negócio?


De: Fernando Ferreira, CEO da AuditSafe

Data: 07/08/2018

A “transformação digital” se tornou um dos termos mais mencionados pelos executivos de negócios nos últimos anos.

 

A busca por mais agilidade nas decisões, inovações tecnológicas, novas oportunidades de negócios e na maneira de interagir com os clientes são apenas algumas das razões que levaram os CEOs do mundo todo a investir tanto nessa nova Era Digital.

 

Infelizmente, os investimentos em Segurança não tiveram a mesma prioridade e os resultados podem ser vistos hoje com cada vez mais frequência: vazamento de dados, segredos comerciais revelados, dano à reputação da marca, perda de credibilidade, operações paralisadas, prejuízo financeiro, entre outros. Parte dessas consequências se deve, principalmente, ao distanciamento entre o Conselho de Administração e os profissionais de Segurança e Tecnologia da Informação.

 

A ausência dos responsáveis pela Segurança da Informação (SI) nas decisões do board é algo que precisa ser revisto dentro das organizações em caráter de urgência. Na maioria das instituições, o tema de SI está restrito aos Comitês de Auditoria, que solicitam esporadicamente a presença de um "C?O" para defender um projeto ou explicar algum incidente quando ocorrido. Mas, o fato é que as empresas precisam de um membro fixo no board com conhecimento em Segurança e Tecnologia da Informação.

 

O CEO precisa ter clara visão de que, para levar o negócio ao sucesso, deve encarar os assuntos de Tech e Cyber como oportunidades e impulsionadores dos negócios fazendo a Gestão dos Riscos Cibernéticos, ou seja, temas inerentes, integrados, que se complementam, onde não é possível fazer um sem investir no outro.

 

Muitas empresas ainda enxergam a área de Segurança da Informação como um centro de custo, e não como uma aceleradora dos negócios. É preciso mudar o mindset e ver a Cyber Security como  vantagem competitiva frente a concorrência.

 

A SI pode ser perfeitamente utilizada de maneira estratégica, como propulsora de inovações se dimensionada corretamente, afinal de contas, em um mundo cada vez mais digitalizado e ameaçado pelos riscos virtuais, a segurança tem tudo para ser o elemento-chave que definirá a escolha do cliente por determinado produto ou serviço no futuro. Você não vai querer perder essa chance, vai?

 

Não sabe por onde começar? Fale comigo, que posso te ajudar!

 

 

 

 

 

PenTest:
O que é, pra que serve e com qual frequência deve ser feito?

De: Fernando Ferreira, CEO da AuditSafe

Data: 19/07/2018

Quando foi a última vez que você fez um PenTest na sua organização? Ele foi realizado por uma equipe especializada?

 

O fato é que por mais que você tenha uma equipe de Tecnologia ou Segurança na sua empresa, é essencial contar com uma empresa especializada para realizar os testes de intrusão, principalmente por profissionais devidamente qualificados.

 

Em uma realidade onde empresas usam cada vez mais sistemas e aplicações, o PenTest se mostra fundamental para a estratégia de Segurança das organizações. Para se ter uma ideia, pesquisas revelam que empresas têm mais de 800 apps em uso (cerca de 20% a mais que o previsto) e, apesar de muitos deles terem bons recursos de proteção, alguns aplicativos contém vulnerabilidades e brechas capazes de comprometer os negócios das empresas.

 

É diante desse contexto que os testes de intrusão se mostram necessários. Eles auxiliam na elaboração de estratégias de proteção que garantem a confidencialidade, integridade e disponibilidade das informações e ambientes de processamento de dados, evitando vazamento e roubo de dados. 

 

A qualificação do profissional de PenTester

 

Aí você se pergunta: mas se eu tenho uma equipe boa de TI e SI, por que eu não posso pedir que eles façam um PenTest? Muitos das varreduras de redes comuns, confundidos com testes de intrusão, geram uma infinidade de falsos-positivos. Um profissional qualificado se certificará qual vulnerabilidade é realmente capaz de trazer algum risco real à empresa.

 

Esse profissional possui habilidades bastante específicas, que vão muito além do perfil técnico de quem, esporadicamente, faz as vezes de PenTester. Ele tem que ser autodidata e estar antenado com os principais fóruns de hacker para troca de informações, além de contar certificações internacionais, como Certified Ethical Hacker (CEH), Offensive Security Certified Proffesional (OSCP) e Certified Information Systems Security Professional‎ (CISSP).

 

Quando se fala em PenTest, o Gray Box é um dos mais comuns, pois os testes são iniciados às cegas e sem nenhuma informação do ambiente a fim de mapear e analisar as vulnerabilidades existentes. Em seguida, as credenciais são utilizadas para simular usuários internos legítimos (ex.: colaboradores) e verificar quais fraudes e brechas podem ser exploradas por um possível invasor.

 

Algumas instituições realizam testes constantemente antes de disponibilizarem serviços aos usuários. No entanto, é recomendável que a maior parte das organizações realize um ou dois testes por ano, na modalidade Gray Box, complementado por Scan/Varreduras trimestrais de vulnerabilidades.

 

A AuditSafe disponibiliza um time qualificado de profissionais que realizam PenTests em instituições de segmentos variados. Entre os serviços prestados estão o monitoramento dos ativos de infraestrutura, preparação de relatórios personalizados, interação humana para validação das vulnerabilidades e todo o apoio técnico dos nossos consultores na Gestão do Ciclo de Vida das Vulnerabilidades, do início ao fim da sua tratativa.

 

Para saber mais sobre o nosso serviço, clique aqui ou pergunte como nós podemos ajudá-lo no espaço abaixo.

 

 

 

 

 

Resolução No 4.658: o que você tem a ver com isso?

De: Fernando Ferreira, CEO da AuditSafe

Data: 10/07/2018

Espera-se que alguns dos novos quesitos de Segurança virem referência para a maioria das empresas, no entanto, instituições devem continuar investindo em trabalhos de Avaliação de Riscos de Cibersegurança em seus ambientes.

 

A nova Resolução No 4.658, publicada recentemente pelo Banco Central, foi vista com bons olhos pelos profissionais de Segurança como um todo. Ao estabelecer a necessidade das instituições financeiras em ter uma política de segurança cibernética, incluindo um plano de ação e de resposta a incidentes, bem como a definição dos requisitos para contratação de serviços em processamento e armazenamento de dados e de computação em nuvem.

 

Espera-se que alguns desses itens virem referência para outros setores além do setor financeiro.
 
As organizações que possuírem os processos de Segurança da Informação bem-estruturados terão mais facilidade para implementar o detalhamento dos controles exigidos pela referida resolução. 

 

Um aspecto importante da resolução 4.658, é que a instituição deverá nomear um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de respostas a incidentes, além de reportar periodicamente sobre o andamento e tratamento das ações junto ao Banco Central.

 

Seguem algumas datas importantes previstas pela resolução que a instituição deve ficar atenta:
 
•    03/10/2018 - Data limite para apresentação do Plano de Adequação

•    06/05/2019 - Data limite para Elaboração e Aprovação da Política de Segurança Cibernética

•    31/12/2019 e 31/03/2020 - Data base e de limite para apresentação do 1º relatório anual

•    31/12/2021 - Data limite para adequação às diretrizes da resolução
 
Em virtude desse cenário, a AuditSafe tem sido contatada frequentemente como prestadora de serviços para avaliar o ambiente tecnológico dessas instituições de modo a avaliar sua aderência dos controles estabelecidos por essa resolução.

 

Tais serviços, incluem, por exemplo, analisar o nível de maturidade de processos, pessoas e das tecnologias existentes; identificar as fragilidades nos controles e exposição dos riscos atuais; e elaborar os planos de ação para correção e mitigação dos riscos de acordo com as necessidades de negócios.

 

Saiba mais.